12 mitów bezpieczeństwa w IT

Wciąż słychać o złośliwym oprogramowaniu, atakach dnia zerowego, zgodności z regulacjami prawnymi, zagrożeniach "z internetu". Nie należy jednak wierzyć we wszystko i ulegać stereotypom.

Przedstawiamy 12 najpopularniejszych mitów, które pokutują od dawna w firmowym światku IT.

1. Antywirus skutecznie chroni przed złośliwym oprogramowaniem

Oddajmy głos specjaliście w tej dziedzinie. Raimund Genes, CTO firmy Trend Micro, wyjaśnia: "Firmy korzystają z antywirusów, dlatego że muszą. W przeciwnym razie wyniki audytów byłyby dla nich niszczące. Oprogramowanie antywirusowe nie może skutecznie ochronić przed kierowanym, specjalizowanym atakiem, gdyż napastnicy tak przygotują kod, by antywirus go nie wyłapał".

Do przygotowania takiego ataku wystarczy instalacja oprogramowania różnych firm w testowych środowiskach, ale o wiele szybciej można zrealizować to zadanie za pomocą strony VirusTotal. Omijanie złośliwego oprogramowania przy dzisiejszych narzędziach nie wykracza poza możliwości przeciętnego programisty.

2. Wszystkie konta są w Active Directory i mamy nad nimi kontrolę

Tatu Ylonen, wynalazca SSH oraz CEO of SSH Communications Security, uważa, że w firmowych usługach katalogowych znajduje się bardzo wiele kont, które były wykorzystywane przez aplikacje i procesy automatyzujące IT. Znacząca część tych kont korzysta z kluczy szyfrujących, których nikt nigdy nie zmienia, a same konta zostały zapomniane, chociaż nadal zapewniają dostęp.

"Wiele dużych organizacji posiada więcej kont i kluczy przeznaczonych dla automatycznego dostępu do produkcyjnych serwerów niż kont przyznanych ludziom. Całe działanie związane z zarządzaniem tożsamością w firmach kładzie nacisk na konta związane z interaktywnym dostępem człowieka do systemów, ignorując przy tym dostęp automatyczny. Te lekceważone lub zapomniane klucze i konta mogą posłużyć do nielegalnego dostępu czy do rozpowszechniania złośliwego oprogramowania" - mówi Tatu Ylonen. Mit prawdopodobny w małych firmach, fałszywy w dużych

3. IT potrzebuje technik zarządzania ryzykiem

Richard Stiennon, główny analityk w IT-Harvest, uważa, że chociaż zarządzanie ryzykiem stało się akceptowalną techniką stosowaną w zarządzaniu IT, w rzeczywistości "koncentruje się na niemożliwym do wykonania zadaniu - określeniu zasobów IT oraz przypisaniu im wartości. Niezależnie od starań, nie uda się odzwierciedlić rzeczywistej wartości, jaką obiekt stanowi dla włamywaczy".

Według Stiennona, jedyną drogą do efektywnej poprawy bezpieczeństwa w IT jest przygotowanie organizacji na odpowiedź na zagrożenia, uwzględniając przy tym nieprzyjaciela, jego cele i metodologię ataku. Można usłyszeć także głosy zwolenników zarządzania ryzykiem w IT (na łamach Computerworld poruszaliśmy ten temat w numerze 31/2012).

4. Bezpieczeństwo aplikacji powinno korzystać z najlepszych zasad (best practices)

Jeremiah Grossman, CTO w firmie WhiteHat Security, jest zdania, że specjaliści do spraw bezpieczeństwa "zbyt często popierają utarte reguły postępowania bazujące na najlepszych zasadach, zakładając przy tym ich uniwersalność". Specjaliści ci wychodzą z założenia, że reguły są podstawą działania dla każdej firmy, obejmując szkolenie twórców oprogramowania, testowanie kodu, modelowanie zagrożeń, zagadnienia związane z zaporami warstwy aplikacji. Według Grossmana przy takim założeniu umyka unikalność każdego środowiska, a razem z nim specyficzne dla niego podatności.

5. Ataków dnia zerowego nie da się przewidzieć, nie można również na nie odpowiedzieć

Ataki dnia zerowego wykorzystują nieznane publicznie podatności, ale nie oznacza to, że tych luk nie można wcześniej szukać. H.D. Moore, CSO w firmie Rapid7, twórca pakietu Metasploit służącego do testów penetracyjnych, tłumaczy, że specjaliści ds. bezpieczeństwa całkiem sprawnie wyszukują problematyczne oprogramowanie i przygotowują firmę, by mogła omijać problemy, gdy się pojawią.

"Jeśli firma polega na jakimś oprogramowaniu do tego stopnia, że niemal nie może bez niego działać, musi wprowadzić plan działania na wypadek pojawienia się czynnika ryzyka związanego z tym właśnie programem. Selektywne udostępnianie oraz ograniczanie uprawnień dla oprogramowania to są dwie najlepsze strategie obrony" - mówi Moore.

6. Im bogatsza historia publikowanych podatności, tym program mniej bezpieczny

Często stosowanym argumentem przeciw różnym programom jest ich historia podatności - im dłuższa, tym produkt rzekomo jest mniej bezpieczny. H.D. Moore przytacza jako przykład opinie wobec programów takich jak WordPress. Uważa jednak, że bardzo bogata historia wykrytych podatności może być naturalnym wynikiem rozwoju oprogramowania w warunkach gwałtownie rosnącej popularności. Według Moore'a, "na rynku jest wiele programów, których informacji o podatnościach się nie publikuje, ale często te narzędzia są o wiele mniej bezpieczne od lepiej znanych i dokładniej sprawdzanych odpowiedników. Mówiąc wprost, historia podatności jest złą metryką określającą bezpieczeństwo aktualnej wersji oprogramowania".

O wiele lepszą metryką jest historia zdarzeń, określająca czas od zgłoszenia krytycznej podatności do wydania łaty, która skutecznie usuwa daną podatność. Określa to, przynajmniej z grubsza, sprawność odpowiedzi producenta na zagrożenie. Nadal niewiele mówi o obecnym stanie aplikacji, ale umożliwia, na podstawie długoletniej historii, choćby przybliżoną ocenę czasu odpowiedzi w przyszłości. Niestety, wielcy producenci rzadko publikują takie informacje.

7. Pozytywny wynik audytu zgodności to oznaka bezpieczeństwa

Bob Russo, dyrektor generalny PCI Security Standards Council, twierdzi, że organizacje nadal uważają, iż uzyskanie zgodności z regulacjami prawnymi oraz zaleceniami podczas audytu związanego z ochroną informacji (np. w dziedzinie przetwarzania informacji finansowych i transakcji kartami płatniczymi) oznacza automatycznie dla firmy, że "wreszcie jest bezpieczna na zawsze". Niestety, audyt, nawet najlepszy, reprezentuje tylko jeden konkretny moment w czasie, a bezpieczeństwo jest ciągłym procesem złożonym z pracy ludzi, dostępnej technologii i procesów biznesowych.

8. Bezpieczeństwo to sprawa dla specjalisty, dla menedżera ds. bezpieczeństwa

Mit ten słyszy się dość często, zwłaszcza wtedy, gdy obwinia się oficera bezpieczeństwa o niedopatrzenie, które spowodowało utratę danych. Phil Dunkelberger, prezes Nok Nok Labs, sądzi, że błąd wynika stąd, że to właśnie oficer bezpieczeństwa jest zaangażowany w kreowanie i realizację założeń polityki bezpieczeństwa, i to właśnie on przeprowadza regularne szkolenia dla pracowników. Tymczasem za bezpieczeństwo są odpowiedzialni wszyscy pracownicy, każdy w zakresie odpowiednim do swoich obowiązków służbowych. Szczególnie duża odpowiedzialność ciąży na pracownikach operacyjnych IT.

9. Nawet pozbawienie się prywatności i wolności osobistych nie zapewni bezpieczeństwa online

Stuart McClure, CEO firmy Cylance, uważa, że często proponowane przekierowanie całego ruchu w celu analizy przez specjalistów z agencji rządowych nie wystarczy do powstrzymania ataków. Zamiast tak radykalnych działań lepiej pozyskać wiedzę na temat metod, środków i ataków, by na podstawie rzetelnych informacji można było podjąć działania.

Stuart McClure jest zdania, że zamiast radykalnych działań lepiej będzie "poznać naprawdę dobrze złych facetów, ich narzędzia i działania, wręcz wejść w ich skórę". Wielokrotne udane włamania do sieci związanych z instytucjami rządowymi i kradzież poufnych informacji w wielu krajach tylko potwierdzają tę tezę.

10. Dobra obrona odstraszy wszystkich napastników

"Często kojarzymy bezpieczeństwo z kontrolą dostępu - zamkami w drzwiach czy z zaporami sieciowymi w sieciach komputerowych. W rzeczywistości nawet skomplikowane strategie obrony, doskonale zrealizowane, nie zapewnią obrony przed zdeterminowanym specjalistą-włamywaczem, który ostatecznie znajdzie sposób na przełamanie zabezpieczeń" - mówi Scott Charney, wiceprezes Trustworthy Computing w Microsoft.

W rzeczywistości podobne ataki występowały już wielokrotnie, więc musimy myśleć inaczej o bezpieczeństwie w organizacji. Dla całej społeczności związanej z bezpieczeństwem oznacza to wdrożenie podejścia: "zabezpieczyć, utrzymać i odzyskać". Tylko w ten sposób będzie można walczyć z zagrożeniami także w przyszłości.

11. Do obrony przed złośliwym oprogramowaniem wystarczy działanie w danej chwili

"Obrona przed atakami jest często ograniczana wyłącznie do przechwytywania - lub nie - różnych ataków. Jeśli metoda nie zadziała, obrona praktycznie sprowadza się do rozpoznania dalszej aktywności napastnika. Nowy model bezpieczeństwa zakłada ciągłą pracę i nieustanną aktualizację informacji, nawet jeśli przeoczy się początkowy etap ataku. Zebrane informacje umożliwią odtworzenie szczegółów, by zrozumieć zakres ataku i ograniczyć jego skutki oraz przygotować właściwą odpowiedź" - uważa Martin Roesch, twórca oprogramowania Snort oraz założyciel Sourcefire.

12. Urządzenia mobilne są bezpieczniejsze niż pecety

Dr Hugh Thompson, związany z radą programową konferencji RSA, sądzi, że to "częste założenie" jest prawdopodobne, ale nie docenia ono niektórych technik obrony, takich jak maskowane hasła i podgląd adresów URL. Metody te są obecne w świecie PC, ale rzadko spotykane w urządzeniach mobilnych.

"Chociaż urządzenia mobilne nadal oferują lepsze bezpieczeństwo niż laptopy lub desktopy, pomijanie tradycyjnych i popularnych zaleceń bezpieczeństwa może narażać użytkowników na podobne ryzyko jak w świecie PC" - mówi Hugh Thompson.

Na podstawie: 13 IT security myths debunked, Ellen Messmer, Network World, February 15, 2013